• 09-07-2008, 17:43:04
    #1
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Selam arkadaşlar birşey danışmak istedim. Son birkaç gündür:
    netstat -np | grep SYN_RECV komutu ile hiç kesilmeyen yüzlerce ip görüyorum. Bunların çoğu Türk Telekom a kayıtlı ip numaraları.
    Anlamadığım bunların içinde bazıları da google nin ipleri?
    Örnek:
    tcp 0 0 ipadresimvs..:80 66.249.66.76:61605 SYN_RECV -
    şeklinde. Bütün bu listenin hepsinin yanında SYN_RECV in yanında - işareti var bu tam olarak ne anlamda?
    İkincisi ise; google saldırı ne iş anlamadım?

    Biraz not centos 5.1 kullanıyorum kernel güncel içinde de bu satır mevcut
    tcp_syncookies satırı mevcut.

    Şimdiden teşekkür ederim.
  • 09-07-2008, 18:00:52
    #2
    Üyeliği durduruldu
    netstat -np | grep SYN_RECV komutunun çıktısını verirmisiniz?
    vermiş olduğunu bilgi netstat -n bilgisidir ikisi farklı komutlardır.
  • 09-07-2008, 18:46:58
    #3
    Yanıt için teşekkürler kusra bakmayın geciktim.
    Buyurun:
    [root@server ~]# netstat -np | grep SYN_RECV
    tcp        0      0 siteminipadresi:80  78.191.61.35:10200          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  88.241.230.19:2364          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  85.102.81.68:49653          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  85.105.150.111:26904        SYN_RECV    -
    tcp        0      0 siteminipadresi:80  88.241.230.19:2365          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  93.86.83.211:56442          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  88.231.123.106:1465         SYN_RECV    -
    tcp        0      0 siteminipadresi:80  78.162.96.94:1159           SYN_RECV    -
    tcp        0      0 siteminipadresi:80  83.78.3.178:49432           SYN_RECV    -
    tcp        0      0 siteminipadresi:80  78.160.168.73:3384          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  87.79.212.114:1525          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  85.102.81.68:49652          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  88.232.186.115:2110         SYN_RECV    -
    tcp        0      0 siteminipadresi:80  88.228.213.237:12796        SYN_RECV    -
    tcp        0      0 siteminipadresi:80  88.231.123.106:1466         SYN_RECV    -
    tcp        0      0 siteminipadresi:80  78.180.231.216:4545         SYN_RECV    -
    tcp        0      0 siteminipadresi:80  87.79.212.114:1528          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  78.191.61.35:10201          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  66.249.66.76:61605          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  85.102.81.68:49654          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  217.218.229.140:55890       SYN_RECV    -
    tcp        0      0 siteminipadresi:80  87.79.212.114:1530          SYN_RECV    -
    tcp        0      0 siteminipadresi:80  88.226.227.30:1318          SYN_RECV    -
    tcp        0      0 siteminipadresi:25  190.183.96.131:2937         SYN_RECV    -
    [root@server ~]#
    O google ipi gene var.
  • 16-07-2008, 00:04:14
    #4
    SYN saldırısında gelen IP'lerin header'ları değiştirilebildiği için orada gördüğünüz IP adreslerinin bir değeri bulunmamaktadır.
    Gelen her syn paketi için sunucu syn ack paketini geri göndermeye çalışır . Yani ordamısın , burdayım gibi . Bu nedenle de SYN baş belası bir saldırı türüdür. SYN'nin makina üzerinden engellenme şansı yoktur. Eğer engelleniyorsa paket sayısı ve trafik fazla değildir. Gelen IP adresleri reel olmadığı ve sürekli üretildiği için IP'leri blocklama çok anlamsızdır . SYN paketinin sunucudan engellenmesi için mutlaka çok çok iyi bir ethernet kartı ve iyi bir bağlantı gerekir .

    O nedenle sunucuyu satın aldığınız yerde hardware firewall hizmeti olup olmadığını araştırınız . ( RioRey , NetScaler , ServerIron gibi sistemler SYN ve DDOS konusunda uzmanlaşmıştır . ) Cisco AS serisi minik firewallcuklarda işe yaramayacaktır.
  • 16-07-2008, 00:50:54
    #5
    syn saldırılardan korunmak için eğer sağlam firewallınız yoksa apacheden vazgeçeceksiniz lighttp veya litespeed kullanacaksınız iyi bir makina yüksek bir hat iyi bir kernel derlemesi ve litespeedle kolay kolay bi makinayı düşüremessiniz
  • 16-07-2008, 00:54:59
    #6
    Kimlik doğrulama veya yönetimden onay bekliyor.
    bu syn saldırları bizi mahvediyor(Çözmü yokmu bununAdam gece gündüz saldiriyor.
  • 16-07-2008, 14:24:55
    #7
    Ekrem adlı üyeden alıntı: mesajı görüntüle
    bu syn saldırları bizi mahvediyor(Çözmü yokmu bununAdam gece gündüz saldiriyor.
    Yukarıda yazdığım gibi Radore , Sadecehosting , Vargonen , Hostcini gibi firmalardan bu hizmeti alabilirsiniz. Bildiğim kadarıyla yukarı yazdıklarımın hepsi NetScaler kullanıyor iç networklerinde.